24
GDPR : Par où commencer ? @Bernard_Lamon

Gdpr pour éditeurs et utilisateurs

Embed Size (px)

Citation preview

Page 1: Gdpr pour éditeurs et utilisateurs

GDPR : Par où commencer ?

@Bernard_Lamon

Page 2: Gdpr pour éditeurs et utilisateurs

Sommaire Qui sommes-nous ? Objectifs et moyens de la réforme, quand ? S’applique à quoi ? Qui ? RT et ST, le DPO. Todo list : étude d’impact, bonnes pratiques, sécurité à garantir et à notifier, privacy by

design. Droits des personnes, Hors UE ? Labels et bonne conduite, Sanctions.

Page 3: Gdpr pour éditeurs et utilisateurs

Qui sommes-nous ?

Mission : protéger, valoriser et défendre vos actifs immatériels, Les avocats du Nouveau Monde : immatériel, Cabinet de niche, 5 personnes, Paris/Rennes, Clients : éditeurs, op internet, telcos, sociétés innovantes. Ex3 : experts, expérimentés, exclusifs. Nous ne faisons que cela, Modèle tarifaire : 1er rendez-vous gratuit.

Page 4: Gdpr pour éditeurs et utilisateurs

Objectifs et moyensHarmonise

r Responsab

iliser

Big Data Protéger la vie privée

Transfert des données

Prise en compte de l’évolution

technologique (profilage)

Page 5: Gdpr pour éditeurs et utilisateurs

Quand ?

Are you ready ? PAC study.Þ Application immédiate / pas de loi de transposition.Þ Traite 80% des sujets. 20% laissés aux Etats membres.

25 mai 2018 : entrée en vigueur du GDPR.

Page 6: Gdpr pour éditeurs et utilisateurs

Quoi

Matériel Territorial

Traitement de données personnelles.

Personne physique.

Exclusion des activités personnelles.

Etablissement du responsable de traitement (RT) ou du sous-traitant (ST) au sein de l’UE.

Peu importe que traitement ait lieu ou non dans l’UE.

RT ou ST non établi dans l’UE (vente de profilage).

Page 7: Gdpr pour éditeurs et utilisateurs

Les acteurs

Personne physique ou morale, autorité

publique, service ou autre organisme.

Seul ou conjointement avec d’autre(s).

Détermine les moyens et les finalités du

traitement.

Responsable de l’ensemble des

obligations du GDPR.

Responsable du dommage causé.

Personne ayant subi un dommage du fait du non-respect des

obligations du GDPR a droit à réparation.

RT

Page 8: Gdpr pour éditeurs et utilisateurs

Les acteurs

Personne physique ou morale, autorité publique, service

ou autre organisme.

Traite des données au nom et pour le

compte du RT.

Responsable du dommage causé par le traitement

s’il n’a pas respecté ses

obligations ou a agi en dehors

des instructions du RT.

ST

Page 9: Gdpr pour éditeurs et utilisateurs

Le ST Inversion du principe précédent : plus de Ponce Pilate,Þ Obligation d’assurer la confidentialité et la sécurité des données,Þ Tenue d’un registre,Þ Pas de sous-sous-traitance sans autorisation et transfert des mêmes

contraintes,Þ Organisation technique (pseudonymisation, chiffrement des données,

résilience, PAQ).

Page 10: Gdpr pour éditeurs et utilisateurs

Le STClauses du contrat exigées par le RGDP : Instructions documentées du RT ; Devoir d’information du STT à l’égard du RT ; Devoir de confidentialité ; Obligations :

de justifier de l’orga, De la sécu, suppression et destruction des données.

Page 11: Gdpr pour éditeurs et utilisateurs

Le CIL-DPO

Désignation obligatoire Modalités Statut Missions

Autorité ou entité publique ; Activités principales qui

impliquent des traitements induisant un contrôle régulier et systématique des personnes à grande échelle ;

traitements à grande échelle des catégories particulières de données (données sensibles…) et des données relatives à des condamnations et infractions.

Salarié ou consultant ;

DPO mutualisé ;

Obligation de communiquer à la Cnil et aux personnes fichées les coordonnées du DPO.

Compétences techniques, juridiques et organisationnelles ;

Indépendance ;

Absence de conflits d’intérêts ;

Confidentialité / secret professionnel.

Informer et conseiller ;

Contrôler le respect de la règlementation (audit) ;

Superviser les PIA (études d’impact) ;

Former / sensibiliser ;

Point de contact avec la Cnil.

Page 12: Gdpr pour éditeurs et utilisateurs

Accountability.

Principe de responsabilité. Traçabilité : registre de traitement. PAQ : PIA (privacy impact assessment) + formation + Code de bonne

conduite + Audit + Certification, etc. Obligation de documentation.

Page 13: Gdpr pour éditeurs et utilisateurs

Etude d’impact (PIA)

Cas d’ouverture

•Profilage / segmentation ;•Traitement à grande échelle de catégories particulières de données sensibles;•Surveillance systématique à grande échelle d'une zone accessible au public.•Listes établies par les Cnil nationales.

Contenu•Description opérations, finalités, intérêts légitimes du RT ;•Évaluation de la nécessité et de la proportionnalité ;•Évaluation des risques ;•Mesures adoptées.

Page 14: Gdpr pour éditeurs et utilisateurs

Privacy by design/defaultPrivacy by design Privacy by default

Conception des services tenant compte du respect de la vie privée.

Respect du principe de minimisation des données et de limitation des finalités.

Haut standard de sécurité depuis la conception.

Documentation des mesures techniques et opérationnelles.

Mise en œuvre des mesures techniques et organisationnelles pour garantir que par défaut, seules les données personnelles nécessaires à la finalité du traitement sont traitées (ex. quantité, accès limité aux seules personnes y ayant intérêt, etc.).

Documentation des mesures techniques et opérationnelles.

Page 15: Gdpr pour éditeurs et utilisateurs

Notification des failles de sécurité.

Responsable de traitement Sous-traitant

Obligation de notification étendue à l’ensemble des RT ;

Contenu notification (catégories de données concernées, conséquences, mesures prises) ;

Obligation d’alerter les individus si haut risque pour les droits et les libertés de l’individu (sauf mesures de protection appropriées prises).

Obligation d’alerter et d’informer le RT de l’existence d’une violation de sécurité.

Page 16: Gdpr pour éditeurs et utilisateurs

Sécurité

Pseudonymisation Anonymisation

Les données ne peuvent plus être attribuées à un individu sans avoir recours à des informations supplémentaires conservées de manière séparée afin de garantir qu’il ne soit plus identifié ou identifiable.

Þ RÉVERSIBLE

Technique consistant à supprimer tout caractère identifiant à un ensemble de données.

Þ IRRÉVERSIBLE

Page 17: Gdpr pour éditeurs et utilisateurs

Droits des personnes• Définition précisée (libre,

spécifique, éclairée et univoque)

• Charge de la preuve au RT• Consentement des enfants• Interdiction des données

sensibles

• Mentions nouvelles : intérêts légitimes du RT, durée de conservation, coordonnées DPO, droit à la limitation et portabilité, droit de retirer son consentement, etc.

• Limitation, portabilité, opposition, droit à l’oubli

• concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples

• Icones normalisés.

Consentement

Informations des

personnes

Nouveaux droits

Transparence de

l’information

Page 18: Gdpr pour éditeurs et utilisateurs

Droits des personnes

Droit à l’oubli•Droit à l’effacement de ses données dans les meilleurs délais ;•Conditions : données plus nécessaires, retrait du consentement, opposition au traitement ;•Exceptions : liberté d’expression et d’information, obligation légale, etc.

Droit à la limitation du traitement

•Contestation exactitude des données•Traitement illicite et la personne préfère une limitation à un effacement•Exception à la limitation (consentement, protection des droits d'une autre personne physique ou morale…)

Droit à la portabilité

•Extension du droit d’accès (données fournies à un RT)•Interopérabilité (format structuré, couramment utilisé et lisible par machine)•Transfert (à un autre RT)•Restrictions (traitement de données automatisés,…)

Page 19: Gdpr pour éditeurs et utilisateurs

Transfert des données hors UEInterdiction des transferts de données en dehors UE sauf niveau adéquat de protection des

données personnelles.

A défaut, il faut des garanties adéquates.Accords internationaux (Safe Harbor / Privacy Shield)

Règles d’entreprise contraignante / Binding corporate rules (BCR)

Clauses contractuelles type adoptées par la Commission Européenne

Code de conduite ou certification

Dérogation limitées (consentement, exécution d’un contrat, etc.)

Page 20: Gdpr pour éditeurs et utilisateurs

Labels et bonne conduite

Certification / labels

•Accordés par des organismes accrédités par les Autorités pour 3 ans, au plus, renouvelables•Création de labels européens (« European Data Protection Seal »)•Registre public tenu par le CEPD (Comité Européen de Protection des Données)

Code de bonne conduite

•Elaborés par des associations ou entités représentatives des RT/SST•Approuvés par les Autorités•Adhésion facultative, mais valeur contraignante•Contrôle du respect des codes par un organisme accrédité par l’Autorité

Page 21: Gdpr pour éditeurs et utilisateurs

Sanctions

GDPR

Page 22: Gdpr pour éditeurs et utilisateurs

Boîte à outils Désigner 1 pilote (internet/DPO), Cartographier, Prioriser les actions, Gérer les risques : PIA, Organiser les processus internes, Documenter la conformité. Cf guide de la CNIL.

Page 23: Gdpr pour éditeurs et utilisateurs

Ressources https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methode.pdf Guidelines sur le DPO du G29 Guidelines sur le droit à la portabilité des données Avis du G29 sur les techniques d’anonymisation https://www.cnil.fr/sites/default/files/typo/document/Guide_pratique_Prise_de_fonction_CIL.

pdf ;

https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee#Article40-1 https://www.cnil.fr/reglement-europeen-protection-donnees

Page 24: Gdpr pour éditeurs et utilisateurs

See you soonNouveau Monde Avocats11 quai Chateaubriand 35000 Rennes222 boulevard Saint-Germain 75007 Paris0299230033

https://www.nouveaumonde-avocats.com/